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基于 Renyi 炉 的 Openflow 信道 链 路 泛 洪 攻击 主动 防御 方法 


获 佳 呈 ， 张 红旗 ， 宋 佳 恨 
(信息 工程 大 学 ， 郑州 450001) 


摘 要 : 针对 新 型 链 路 泛 洪 攻击 ， 提 出 一 种 基于 Renyi 灶 的 Openflow 信道 链 路 泛 洪 攻击 主动 防御 方法 。 运 用 Renyi 灶 
分 析 攻 击 者 在 构建 Openflow 信道 Linkmap 坟 Se ICMP 超时 报 文 数量 变化 。 一 旦 出 现 攻 击 前 兆 由 流量 监控 服 
务 器 向 控制 器 发 出 攻击 预警 ， 控 制 器 启动 交换 机 -控制 器 连接 迁移 机 制 ， 将 交换 机 迁移 至 新 的 控制 器 下 并 使 用 新 的 
Openflow 信道 与 之 通信 。 实 验证 明 , 主动 防御 方法 能 有 效 避 免 控 制 器 与 交换 机 之 间 通 信和 链 路 受到 链 路 泛 洪 攻击 的 影 
确保 控制 器 和 交换 机 能 持续 交互 提供 网 络 服务 ， 增 强 了 SDN 网 络 的 健壮 性 。 
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Active defense method of Openflow channel link flooding attack based on Renyi entropy 
Cai Jiaye, Zhang Hongqi Song Jialiang 
(Information Engineering University, Zhengzhou 450001, China) 


Abstract: For defending the new link flooding attack, this paper proposed an active defense method of Openflow channel link 
flooding based on Renyi entropy. Analyzing the changes in the number of ICMP timeout messages produced by an attacker in 


the construction of the Openflow channel Linkmap from Renyi entropy. Once attacks precursor was detected, flow monitoring 


server sends an attack warning to the controller, then controller start switch-controller connection migration mechanism, migrate 


the switch to a new controller and communicate with the new Openflow channel. Experimental results show that the active 
defense method can effectively avoid the impact of link flooding attack between controller and switch and ensure that controller 
and switch can provide continuous network services and enhance the robustness of SDN network. 


Key words: link-flooding attack; Openflow channel; Renyi entropy; active defense 


击 者 依据 链 路 图 筛选 目标 链 路 ， 一 般 筛 选 的 目标 链 路 流量 密度 

较 大 ， 数 据 传输 稳定 ， 是 用 户 访问 网 络 服务 的 主干 链 路 。 攻 击 

近年 来 ,一 种 名 为 链 路 泛 洪 攻击 (link-flooding attack, LFA) ”者 选 定 目标 链 路 后 ， 将 组 织 大 量 僵尸 主机 向 目标 链 路 发 送 低速 

的 新 型 DDoS 攻击 引起 学 术 界 的 广泛 关注 。 不 同 于 传统 DDoS ” 合法 数据 流 以 消 es 导致 链 路 丢 包 率 和 RTT 值 大 幅 上 升 ， 
攻击 以 消耗 目标 服务 器 资源 为 目的 ， 链 路 泛 洪 攻击 则 在 泛 洪 特 ”实现 对 目标 链 路 的 阻塞 。 链 路 泛 洪 攻击 步 又 如 图 1 所 示 。 


定 网 络 链 路 ， 阻 止 用 户 访问 某 个 重要 网 络 服务 ， 间 接 破坏 依赖 
这 些 链 路 的 网 络 服务 。 链 路 泛 洪 攻击 的 实施 策略 相 比 普通 实施 泛 洪 攻 
图 1 链 路 泛 洪 攻 击 实施 步 又 


0 引言 


| 


T 
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DDoS 攻击 更 加 复杂 ， 隐 蔽 性 更 高 ， 其 使 用 合法 流量 对 目标 链 
路 实施 攻击 ， 使 得 网 络 防御 机 制 无 法 进行 有 效应 对 。 目 前 主流 
的 链 路 泛 洪 攻击 分 为 crossfirelJ 和 coremeltP]， 其 中 crossfire 基 SDN 网 络 是 一 种 新 型 网 络 架构 ,其 显著 特点 是 数据 转发 功 
其 不 依赖 于 bots 所 处 位 置信 息 ， 所 以 在 攻击 发 起 前 可 以 灵活 指 “能 与 控制 功能 分 离 ， 罗 辑 集中 控制 ， 实 现 对 网 络 流量 的 灵活 控 
定 不 同 的 链 路 集合 以 达到 避免 引起 警报 的 目的 ， 相 比 于 ， 制 .Openflow 作为 一 种 开源 协议 目前 已 成 为 SDN 的 标准 , SDN 
coremelt 攻击 更 有 具 威胁 性 。 网 络 架构 分 为 应 用 层 ， 控 制 层 与 基础 设施 层 ， 其 中 控制 层 是 核 
攻击 者 发 动 链 路 泛 洪 攻击 前 需要 收集 目标 服务 器 周围 的 链 ” 心 ， 通 过 Openflow 信道 向 基础 设施 层 的 交换 机 下 发 流 表 转 发 
路 信息 ， 通 常 攻击 者 使 用 网 络 诊断 工具 〈 如 traceroute) 来 进行 规则， 可见 Openflow 信道 是 控制 层 实现 对 全 网 有 效 控制 的 基 
这 项 工作 ， 收 集 到 的 信息 的 集合 被 称 为 链 路 图 (link map)。 攻 ” 础 。Openflow 信道 是 基于 TCP 的 6633 端口 建立 的 ， 其 可 靠 性 
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有 底层 传输 协议 保证 ， 同 样 会 受到 链 路 泛 洪 攻 击 的 威胁 。 一 旦 。“ TTL 值 减 为 0 时 ， 路 由 器 便 丢 弃 数据 包 并 向 发 送 者 传递 ICMP 
攻击 者 对 Openflow 信道 实施 链 路 泛 洪 攻击 ， 控 制 层面 将 无 法 Time Exceeded 报 文 。Traceroute 程序 一 般 首 次 发 送 TTL 值 为 1 


及 时 有 效 地 回应 来 自 数据 转发 层 的 流 表 请 求 ， 也 无 法 实时 掌握 。 的 3 个 数据 包 ， 之 后 发 送 3 个 TTL 值 为 2 的 数据 包 ， 依 此 类 
全 网 动态 ， 导 致 控制 层面 失去 逻辑 集中 控制 功能 ， 达 到 间接 破 。 当 traceroute 程序 收 到 ICMP Port Unreachable 消息 时 ， 表 
坏 SDN 网 络 的 目的 。 因 此 防范 针对 Openflow 信道 的 链 路 泛 洪 明 发 送 的 数据 包 已 到 达 目 的 主机 ， 因 为 程序 发 送 的 数据 包 目 标 
攻击 具有 重要 意义 。 端口 值 一 般 选 择 应 用 程序 都 不 会 使 用 的 号 码 (30000 以 上 )。 
针对 链 路 泛 洪 攻击 的 防御 技术 ， 学 者 们 做 了 如 下 研究 。 文 综 上 所 述 ， 某 个 用 户 使 用 traceroute 程序 进行 路 由 探测 的 


献 [3] 提 出 LinkScope 技术 ， 采 用 端 到 端 逐 跳 技术 捕获 异常 链 路 过 程 中 会 产生 大 量 的 ICMP Time Exceeded 消息 报 文 ， 其 报 文 格 
性 能 下 降 来 检测 链 路 泛 洪 攻击 ;文献 [4] 使 用 修改 后 的 路 由 器 ,可  ” 式 如 下 
将 低速 攻击 流 从 合法 流量 中 检测 出 来 , 并 保护 合法 流量 ;文献 [5] 


使 用 SDN 流量 工程 , 临时 增加 目标 链 路 的 逻辑 带宽 , 迫使 攻击 类 型 ci A 检验 和 

者 增加 攻击 成 本 , 从 而 使 得 攻击 隐蔽 性 减弱 ;文献 [6] 提 出 软件 定 

义 蜜 把 技术, 引诱 traceroute 数据 包 进 入 蜜 网 , 这 样 攻击 者 收集 未 用 (必须 为 0) 

的 是 通 往 蜜 网 的 链 路 ， 保 护 真 正 的 网 络 服 务 链 路 不 被 攻击 者 探 

测 到 ;文献 [7] 提 出 一 种 名 为 LFADefender 的 链 路 泛 洪 攻 击 防御 IP 首 部 (包括 选项 ) + 原始 IP 数 据 报 中 数据 的 前 8 字 节 
架构 , 该 系统 利用 SDN 网 络 全 局 视图 , 流 回 淹 功 能 以 及 网 络 虚 


图 3 ICMP Time Exceeded 报 文 格 式 


拟 化 的 弹性 部 署 特性 检测 和 缓解 链 路 泛 洪 攻击 。 
以 上 研究 大 部 分 为 攻击 发 生 后 采取 的 检测 和 缓解 措施 ， 在 ICMP Time Exceeded 报 文 有 两 种 ， 本 文 主机 讨论 ICMP 报 
防御 态势 上 处 于 被 动 一 方 。 本 文 借鉴 移动 目标 防御 思想 文 是 在 TTL 值 为 0 时 产生 的 ， 因 此 其 代码 字段 为 0。 当 代码 字 
(moving target defense,MTD )， 采 取 主 动 防御 姿态 ， 提 出 一 种 段 为 1 时， 为 “组 装 报 文 超时 ”的 ICMP 报 文 。 
针对 Openflow 信道 链 路 泛 洪 攻击 的 防御 方法 。 首 先 ， 在 
Openflow 交换 机 北向 接口 处 部 署 流量 监控 服务 器 , 每 隔 固定 时 
间 段 抓 取 Openflow 信道 中 的 数据 包 , 统计 ICMP 超时 报 文 的 数 言 息 粹 用 于 刻画 随机 变量 的 不 确定 性 ， 焙 值 越 高 ， 变 量 随 
量 ;其 次 ,运用 Renyi 焙 分 析 攻 击 者 在 构建 Openflow 信道 机 性 越 大 ， 烂 越 低 ， 变 量 随机 性 越 小 ， 确 定 度 越 高 。 信 息 焙 
Linkmap 过 程 中 产生 的 ICMP 超时 报 文 数量 变化 ， 以 此 判断 是 在 各 个 领域 都 有 大 量 应 用 ， 如 香农 烂 和 Tsallis 焙 ， 但 针对 小 流 
否 出 现 攻击 前 兆 。 最 后 ， 一 旦 出 现 攻 击 前 兆 由 流量 监控 服务 器 量 的 度量 ，Renyi 箭 相 比 香农 录 更 能 增 大 两 个 分 布 之 间 的 差异 
向 控制 器 发 出 攻击 预警 , 控制 器 启动 交换 机 -控制 器 连接 迁移 机 名。Renyi 炳 定义 如 下 : 
制 ， 将 交换 机 迁移 至 新 的 控制 器 下 并 使 用 新 的 Openflow 信道 
与 之 通信 。 


2 Renyi 焕 


H.,(x)= 
1 


， 
log (2,p") (1) 
= i=1 


满足 p, e{p1,p,…p,} ，pi 是 随机 变量 xi 的 概率 分 布 。 


>0,01, 


1 Traceroute 


Traceroute 是 Linux 系统 用 于 路 由 探测 的 程序 ， 通过 ICMP 当 g=0 时 得 最 大 值 
“超时 ”和 “端口 不 可 达 ” 两 种 消息 配合 记录 通 向 目标 主机 路 max(H, (x)) = log, (n) 0) 
径 的 路 由 。 有 具体 原理 如 图 2 所 示 。 当 w_>1 时 ，Renyi 糯 收 敛 于 香农 炉 ， 证 明 如 下 : 


TTL=1 S > Inp, 
: 9 多 tim H, (0) =lim log, Or ) =lim 三 0@3) 
ICMP Time Exceeded ee lIn2 
TTL=2 TTL=1 
DER 二 = 
一 @ 下 一 二 
、 ICMP Time Exceeded 由 于 27° =1, 所 以 有 
TTL=3 TTL=2 TTL=1 本 可 
= es = ， 
< 和 limH,(0) = 2p" log, p, (4) 
ICMP Port Unreachable 
当 cw 一 0 时 ， 
图 2 Traceroute 程序 原理 
oH (x) 0 (5) 
Traceroute 程序 利用 增加 数据 包 存活 时 间 (TTL) 值 实现 路 | ac 
探测 功能 ， 每 当 数据 包 经 过 一 个 路 由 器 ，TTL 值 就 会 减 1。 当 表明 已 (Co 是 一 个 随 4 增 大 而 减 小 的 递减 函数 。 
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链 路 泛 洪 


攻击 防护 原理 如 图 4 所 示 。 


流量 监控 服务 器 


Openflow 信 道 1 


N 
i 

ee 
Ee 


攻击 者 


Openflow v1.4.0 版 本 的 协议 支持 交换 机 与 多 个 


0penflow 交 换 机 


”控制 器 B 


Openflow 信 道 2 


图 4 链 路 泛 洪 攻击 防护 原理 


空 制 器 相连 


以 便于 两 者 之 间 连 接 关系 的 调整 。 


因此 图 中 交换 机 与 两 个 控制 


zi 


器 相连 ， 控 制 器 A 为 master 控制 器 ， 
相连 ， 控 制 器 B 为 slave 控制 器 ， 用 
连 。 正常 情况 下 交换 机 主要 通 


过 信道 1 与 master 控制 器 进行 通 


用 Openflow 信道 1 与 之 


Openflow 信道 2 与 之 相 


言 ， 当 master 控制 器 A 收 到 链 路 泛 洪 
迁移 机 制 , 将 控制 器 B 变 为 master 控 表 


预警 信息 时 ,启动 交换 


启 守 1 


1 器 并 使 用 信道 2 进行 


信 。 由 于 攻击 者 并 不 知道 交换 机 与 控 人 
变化 ， 仍 然 对 信道 1 进行 攻击 ， 


趾 器 之 间 的 通信 信道 
显然 攻击 未 能 达到 预 


发 生 
期 效果 ， 


H 


控制 器 与 交换 机 之 间 的 通信 没有 受到 影响 。 当 攻击 者 发 现 攻 击 


无 效 后 ， 必 须 再 次 发 送 探测 数据 包 进行 链 路 图 的 绘制 工作 及 定 
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时 间 窗 

数据 1 数据 2 数据 3 数据 4 数据 5 数据 6 

向 时 间 增 序列 方向 滑动 
> 
时 间 窗 
数据 1 数据 2 数据 3 数据 4 数据 5 数据 6 
T T Ts Ts Ts Te 
图 5 滑动 时 间 窗 口 
控制 器 A Openflow 交 换 机 控制 器 B 
1.Flow-mod add action 
2.Barrier request message 
3.Barrier reply message 
『 1 4.Role-request to equal message 
由 全 
5.Role-reply for equal message 
6.Flow-mod delete action 
7.Flow removed message 7.Flow removed message 
8.Role-request to master message 
9.Role-reply for master message 
| 
加 6” 交换 机 -控制 器 连接 迁移 流程 
a) 控制 器 A 向 交换 机 发 送 添加 流 表 项 的 指令 ， 并 将 一 条 


虚假 的 流 表 项 添加 进 交 换 机 中 。 


b) 为 了 确保 交换 机 安装 该 虚假 流 表 项 , 控制 器 向 交换 机 发 


送 barrier-request 消息 。 


c) 交换 机 安装 虚假 流 表 项 后 向 控制 器 发 送 barrier-reply 消 


位 目标 链 路 ， 无 疑 增 加 攻击 者 的 难度 和 成 本 。 


攻击 者 在 发 动 针 对 Openflow 信道 
行 链 路 图 的 收集 工作 。 
行路 由 探测 ， 如 前 文 所 述 


变化 ， 


ICMP 包 的 分 布 情况 。 
在 流量 监控 服务 器 部 署 抓 包 程序 ， 


Exceeded 报 文 为 统计 对 象 统计 其 数量 


述 在 探测 链 路 的 过 程 中 会 
ICMP Time Exceeded 消息 ， 造 成 一 段 时 间 内 ICMP 包 分 布 发 生 
基于 traceroute 程序 这 一 特性 , 且 ICMP 包 在 实际 网 络 中 
属于 小 流量 行为 ， 本 文 使 用 Renyi 灶 来 描述 


自 网 络 搭建 以 来 的 数据 包 数 量 Mi 作为 监控 数据 


首 的 DDoS 攻击 前 ， 要 进 


通常 使 用 traceroute 程序 发 送 数 据 包 进 


d) 控制 器 B 向 交换 机 发 送 role-request 消息 ， 


息 回应 控制 器 发 送 的 barrier-request 消息 。 


申请 将 自己 


对 交换 机 的 身份 从 slave 转变 为 equal。 


e) 交换 机 向 控制 器 B 发 送 role-reply 消息 


产生 大 量 的 


已 完成 。 


message )， 


告知 其 身份 转变 
能 够 接收 交换 机 发 送 的 异步 消息 (asynchronous 
为 迁移 做 好 准备 。 


f) 控制 器 A 向 交换 机 发 送 flow-mod 消息 ， 指 示 交 换 机 将 


Openflow 信道 中 


的 时 间 段 监控 
,以 ICMP Time 
mi 并 作为 统计 数据 。 将 


每 隔 固定 


监控 数据 Mi， 统 计数 据 mi 以 二 元 数组 的 形式 存储 在 以 时 间 增 


序 的 组 在 


到 


判断 炉 值 出 现 异常 后 向 master 控制 器 和 slave 控 
泛 洪 预 警 信息 。 


队列 里 ， 如 图 所 示 为 滑动 时 间 窗 口外， 属于 滑动 时 间 
内 的 数据 将 作为 主动 防御 算法 的 输入 。 主 动 防御 算法 循环 
提取 缓存 队列 中 的 监控 数据 和 统计 数据 ， 并 计算 Renyi 焙 ， 妆 


制 器 发 出 链 路 


之 前 安装 的 虚假 流 表 项 删除 。 
g) 交换 机 同时 向 控 


制 器 A 和 控制 器 B 发 送 flow-removed 


消息 。 

h) 控制 器 B 收 到 flow-removed 消息 后 发 送 role-request 消 
息 给 交换 机 请 求 将 自己 的 角色 转变 为 master。 

i) 交换 机 向 控制 器 B 发 送 role-reply 消息 ， 通 知 控制 器 B 


身份 转变 已 完成 。 同 时 根据 Openflow 协议 ， 控 制 器 A 的 角色 
自动 设置 成 slave。 


4 ”主动 防御 算法 


本 文通 过 下 


本 文 提出 的 交换 机 与 控制 器 的 连接 关系 变化 过 程 如 下 图 6 


所 示 。 假 设 在 迁移 过 程 中 控制 器 A 不 是 


下 发送 和 迁移 无 关 的 新 信 


息 给 交换 机 处 理 。 


究 攻击 者 使 用 的 链 路 探测 程序 traceroute 的 原 


里 ， 分 析 运 行 过 程 中 出 现 的 特征 与 链 路 泛 洪 
了 一 种 针 


高 的 SDN 的 稳定 性 


攻击 的 关联 ， 提 出 
攻击 的 主动 防御 算法 ， 提 
和 健壮 性 。 图 7 给 出 算法 的 流程 。 


对 Openflow 信道 链 路 泛 洪 
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开始 千 - 
控制 器 C 人 控制 器 C; eh _ 一 党 制 器 C 
了 Wg 
一 > 数据 采样 < 主机 可 达 性 测试 行为 2 
控制 器 C。。 路 由 器 Bo 、 ee i 控制 器 Ce 
J No & 流量 监控 3 
计算 ICMP Time Exceeded i 路 由 器 这 服务 器 nT 
报 文 Renyi 灶 HZ Count> 6 一 一 一 一 > 传记 主机 探测 链 路 行为 人 
路 由 器 Ra 路 由 笑 R 
NO /A\、 
| 2 
OVS OVSad 和 Ss 
一 Hace > | 、 be 本 RY 
输出 链 路 泛 洪 预 竺 信息 | ES .SN 
人 
YES | A 
有 ms > S “ ® 
Ss ountt+ 启动 交换 机 迁移 机 制 终 册 终端 -" 


图 7 算法 流程 8 ”实验 拓扑 图 
a) 循环 读 取 时 间 窗 口内 的 监控 数据 和 统计 数据 实验 拓扑 中 Openflow 交换 机 个 数 为 20, 控制 器 个 数 为 10， 
b) 计算 ICMP Time Exceeded 报 文 的 Renyi 焙 ， 若 粒 值 高 路 由 器 个 数 为 80。 网 络 初始 状态 下 控制 器 Cl 至 C5 为 master 
于 预警 阀 值 s， 则 返回 上 一 步 ， 若 低 于 预警 阀 值 s， 则 进行 下 一 ”控制 器 ，C6 至 C10 为 slave 控制 器 。 路 由 器 用 于 模拟 真实 网 络 
步 。 中 的 Openflow 信道 ， 其 中 R1 至 R40 模拟 Openflow 信道 1 
c) 启动 计数 器 count， 其 值 加 1。 R41 至 R80 模拟 Openflow 信道 2。 流 量 监控 服务 器 部 署 在 
d) 判断 计数 器 count 值 是 否 大 于 告警 闷 值 5， 若 不 大 于 闵 。 ”Openflow 交换 机 北向 接口 处 ， 每 个 交换 机 和 3 台 终 端 相连 。 
值 6 a depen i 加 a)。 6 实验 结果 分 析 
大 于 闵 值 5， 则 认定 为 僵尸 主机 的 链 路 探测 行为 ， 输 出 链 路 泛 
洪 预警 信息 ， 并 进行 下 一 步 。 实验 首先 模拟 僵尸 主机 的 不 同 链 路 探测 强度 ， 将 探测 强度 
e) 启动 交换 机 迁移 机 制 。 分 为 三 个 等 级 ， 一 级 探测 强度 模拟 僵尸 主机 使 用 traceroute 程 
在 实际 SDN 中 部 分 主机 为 测试 端 到 端的 连通 性 会 发 送  ” 序 发 送 TTL 值 依次 为 1 至 10 的 数据 包 。 二 级 探测 强度 模拟 僵 
ICMP 报 文 ， 也 同样 可 能 会 造成 ICMP Time Exceeded 消息 报 文 尸 主机 使 用 traceroute 程序 发 送 TTL 值 依次 为 1 至 20 的 数据 
量 突变 ， 为 了 降低 算法 误 报 率 ， 避 免 因 交换 机 频繁 迁移 导致 ” 包 。 三 级 探测 强度 模拟 僵尸 主机 使 用 traceroute 程序 发 送 TTL 
的 网 络 性 能 下 降 ， 设 立 一 个 告警 阐 值 5。 当 Renyi 粒 值 低 于 预 。 值 依次 为 1 至 30 的 数据 包 。 用 于 模拟 Openflow 信道 的 路 由 器 
敬 闷 值 8 的 次 数 超过 5 时 ,认定 为 正常 主机 的 链 路 连通 性 测试 ， 为 40 台 ， 因 此 三 级 强度 已 接近 完成 链 路 探测 总 量 的 75%。 图 
高 于 阔 值 6， 认定 为 伪 尸 主机 链 路 探测 行为 。 阔 值 : 和 ”9~11 为 三 个 探测 强度 下 ICMP Time Exceeded 报 文 的 Renyi 科 
需 经 实验 确定 。 和 香农 粹 的 变化 曲线 。 
在 算法 复杂 度 方面 ， 设 待 检测 的 数据 样本 总 数 为 N， 算 法 在 20 s 时 模拟 僵尸 主机 对 Openflow 信道 1 依次 实施 一 、 
中 两 个 循环 的 关系 并 不 是 对 套 关系 ， 而 是 互 斥 关系 ， 因 此 可 得 ”二 、 三 级 强度 的 链 路 探测 ， 图 9 显示 一 级 探测 强度 下 检测 到 两 
算法 复杂 度 为 O(N)。 次 ICMP time exceeded 报 文 的 烂 值 偏离 正常 值 的 情况 并 在 27s 
算法 : 主动 防御 算法 处 回归 正常 水 平 。 其 中 香农 粹 值 偏 离 程度 最 小 ， 随 着 阶 数 a 的 
(Dao readData /循环 读 取 时 间 窗口 内 的 监控 数据 和 统计 数据 增 大 ， Renyi 焙 值 偏离 程度 逐渐 增 大 ， 在 a=10 时 偏离 程度 最 
(2) HO = calculate(ICMP) AM 坟 和 营 JCMP Time Exceeded MO 这 ff Renyi 大 ， 达 到 0.206 8。 图 10 显示 二 级 探测 强度 下 检测 到 4 次 炉 值 
料 HO 偏离 正常 值 的 情况 并 在 32s 处 回归 正常 情况 , 阶 数 u=10 的 Renyi 


(3)while HCk se 


(4) count++ // 低 于 预警 阔 值 。， 


(6)if count>6 
(7) then alarm() // 僵 三 主 机 克 链 够 族 沥 厅 为 ， 答 凡 兰 区 
(8) ”then 房 动 克 医大 远 形 帮 尘 
(9)else continue /正常 主机 的 链 路 连通 性 测试 


(10) End 


5 


仿真 实验 


实验 拓扑 ”本文 实验 环境 基于 
Openflow v1.4 版 本 协议 ， 控 


// 若 业 值 低 于 预警 国 值 : ， 重 新 读 取 数据 


count+1 


制 器 使 用 


为 Open vSwitch 和 有 刷 写 了 OpenWRT 六 


Openflow v1.4 版 本 的 路 


Mininet 仿真 平台 ， 使 用 
Floodlight 版 本 ， 


交换 机 
F 源 系统 ,并 能 支持 


器 。 拱 建 的 网 络 


拓扑 如 图 8 所 示 


炉 偏离 最 大 ， 达 到 0.249 0。 医 


况 ， 阶 数 a=10 的 Renyi 偏 离 幅 度 最 大 ， 达 到 0.3898， 


40 


多 


11 显示 检测 到 8 次 糯 值 偏离 情 


s 处 才 匠 


归 正 常 水 


wz 


o 


值 在 


"机 


15 上 


entropy 


二 


Ti we 2323 
NS 


香农 焙 

多 Renyi 炳 wx=2 
A Renyi 炳 cx=6 
本 Renyi 粹 a=10 


.RD 
time(s) 


图 9 


1 | | 
30 35 40 45 
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T T 1 表 3 三 级 探测 强度 各 阶 数 Renyi 灶 
2 上 J 
阶 数 正常 平均 业 值 最 低 粹 值 拐点 差 
15- 香农 人 1.7851 1.7031 0.0820 
-2 1.7384 1.6157 0.1227 
a | J 
a=6 1.6968 1.3629 0.3339 
1 香农 炳 
enyi 炳 0=2 em 
05 上 2 a=10 1.6439 1.2541 0.3898 
率 Renyi 烦 cx=10 
| | | | | | | | 六 > V ~ 四 A NE y hh 
0 5 10 15 20 25 30 35 40 45 在 确定 算法 阔 值 后 进行 算法 防护 效果 测试 ，Openflow v1.4 


time(s) 


协议 中 规定 当 一 个 Openflow 交换 机 与 master 控制 器 的 通信 中 
图 10 三 级 探测 强度 炳 值 


断 时 会 进入 STANDALONE 状态 ， 进 入 该 状态 的 Openflow 交 
0 换 机 会 转变 成 传统 二 层 交 换 机 建立 MAC 表 进 行 数据 包 转 发 工 


站 1 作 。 

证 1 实验 模拟 攻击 者 对 Openflow 信道 1 发 动 链 路 泛 洪 攻击 的 
和 全 过 程 。 下 图 描绘 了 实验 过 程 中 处 于 STANDALONE 状态 的 
5 1 ] Openflow 交换 机 的 数量 ， 在 0~30 s 模拟 攻击 者 发 送 traceroute 

i | 数据 包 进 行 链 路 图 收集 工作 , 30s 时 对 Openflow 信道 1 进行 模 

0 拟 链 路 泛 洪 攻击 ， 可 以 看 到 当 没 有 部 署 动态 防御 算法 时 ， 随 着 
0 5 16 在 0 35 30 35 而 45 时 间 的 推移 变 成 STANDALONE 状态 的 交换 机 数量 急剧 上 升 ， 
time(s) 在 40 s 时 所 有 交换 机 均 处 于 STANDALONE 状态 ， 此 时 表明 


图 11 三 级 探测 强度 箭 值 


master 控制 器 无 法 与 交换 机 进行 通信 ，SDN 网 络 彻底 瘫痪 ， 
综 上 所 述 ， 随 着 探测 强度 的 增 大 ， 类 值 偏离 的 幅度 也 不 断 ”Openflow 交换 机 退化 为 传统 二 层 交 换 机 。 

加 大 , 这 是 因为 探测 过 程 中 生成 的 ICMP Time Exceeded 报 文 数 当 部 署 了 动态 防御 算法 后 ， 可 以 看 到 仅 有 2 台 交 换 机 处 于 
量 占 总 流量 的 比重 不 断 升 高 ， 但 ICMP 报 文 在 实际 网 络 中 是 小 ”STANDALONE 状态 ， 原 因 是 有 的 交换 机 还 未 完成 迁移 流程 时 
流量 行为 ， 增 加 比例 较 小 ， 香 农 粹 变化 幅度 有 限 ， 无 法 及 时 对 与 master 控制 器 通信 的 链 路 就 被 阻 断 ， 尤 其 在 交换 机 处 理 
ICMP 流量 的 变化 作出 反映 ， 检 测 灵 敏 度 较 低 。 而 Renyi 炉 无 ”barrier 消息 时 需要 将 之 前 控制 器 发 送 的 消息 处 理 完毕 后 才能 回 
论 在 哪 种 探测 强度 下 ， 都 能 “放大 ?流量 特征 的 变化 ， 检 测 灵 敏 ” 复 barrierreply 消息 , 无 疑 增加 了 迁移 所 用 的 时 间 , 但 整体 防御 
度 高 。 表 1~3 为 不 同 探 测 强 度 下 香农 粹 和 Renyi 灶 的 具体 值 。 效果 符合 理论 预期 。 
过 对 比 ，Renyi 炉 在 阶 数 a=10 时 检测 灵敏 度 最 高 ， 正 常平 均 
炉 值 为 1.6439， 所 以 将 闵 值 8 设 为 1.6439。 当 检测 到 粒 值 偏离 
8 次 时 ， 攻 击 者 已 完成 约 75% 的 探测 量 ， 因 此 本 文 将 阐 值 5 设 
为 8， 避 免 因 小 流量 变化 导致 频繁 启动 交换 机 迁移 ， 降 低 整 个 
SDN 网 络 的 性 能 。 
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@ 未 部 署 主动 防御 算法 
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表 1 一 级 探测 强度 各 阶 数 Renyi 焙 


阶 数 正常 平均 炳 值 最 低 烂 值 拐点 差 0 10 20 30 40 50 60 70 80 90 100 
香农 粒 1.7851 1.7809 0.0042 图 12 ”防御 效果 
a=2 1.7384 1.6894 0.0490 
a=6 1.6968 1.5921 0.1047 7 ”结束 语 
a=10 1.6439 1.4371 0.2068 
本 文 提 出 了 一 种 基于 Renyi 箭 的 Openflow 信道 链 路 泛 洪 
表 2 二 级 探测 强度 各 阶 数 Renyi 炳 攻击 主动 防御 方法 ， 在 Openflow 交换 机 北向 接口 部 署 流 量 监 
阶 数 正常 平均 炳 什 最 低 坪 值 。 拐点 差 。。” 控 服务 器 , 监控 Openflow 信道 内 ICMP 超时 报 文 数量 ， 当 报 文 
i ee i TD ”数量 出 现 异常 时 启动 交换 机 迁移 机 制 , 交换 机 使 用 新 Openflow 
=2 1.7384 1.6461 0.0923 信道 与 新 master 控制 器 进行 通信 。 经 实验 证 明 主动 防御 方法 能 
书本 14846 02122 有 效 避 免 控制 器 与 交换 机 之 间 通 信 链 路 受到 链 路 泛 洪 攻击 的 影 
ee 02400 。。。 响 ,确保 控制 器 和 交换 机 能 持续 交互 提供 网 络 服务 ,增强 了 SDN 
的 健壮 性 。 今 后 的 研究 工作 将 继续 围绕 SDN 控制 层面 的 网 络 
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